CC BY
130
МЕТОДИКА ПОСТРОЕНИЯ ГРАФОВ АТАК ДЛЯ СИСТЕМ АНАЛИЗА
СОБЫТИЙ БЕЗОПАСНОСТИ
Чечулин Андрей Алексеевич
науч. сотр., Санкт-Петербургский институт информатики и автоматизации
РАН (СПИИРАН), г. Санкт-Петербург Е-mail: chechulin@comsec.spb.ru
TECHNIQUE OF ATTACK GRAPHS BUILDING FOR SYSTEMS OF SECURITY EVENT ANALYSIS
Audrey Chechulin
Researcher, St. Petersburg Institute for Informatics and Automation of the Russian
Academy of Sciences (SPIIRAS), St. Petersburg
Работа выполняется при финансовой поддержке РФФИ, программы фундаментальных исследований ОНИТ РАН, Министерства образования и науки Российской Федерации (государственный контракт 11.519.11.4008), при частичной финансовой поддержке, осуществляемой в рамках проектов Евросоюза SecFutur и MASSIF, а также в рамках других проектов.
АННОТАЦИЯ
Данная работа посвящена исследованию задачи учета сетевых событий, происходящих в реальном времени, в системах моделирования сетевых атак. Объектом исследования является процесс моделирования сетевых атак. В статье рассматриваются основные входные и выходные данные системы моделирования и информационные потоки внутри нее. Также в данной работе приведено описание разработанного прототипа системы моделирования.
ABSTRACT
This paper is devoted to techniques for security event processing in the attack modelling systems. The object of this research is the process of network attack modelling. In the paper the main input and output data as well as the internal information flows for attack modelling system are considered. Also the description of implemented prototype is presented.
Ключевые слова: графы атак; обработка событий безопасности;
обнаружение нарушителей.
Keywords: attack graphs; processing of the security event; malefactors recognition.
Введение
Основными задачами систем управления информацией и событиями безопасности (Security Information and Event Management, SIEM) являются сбор, обработка и анализ событий безопасности, обнаружение в режиме реального времени атак и нарушений политик безопасности, оценка защищенности ресурсов, выработка и принятие решений по защите информации [2, 3].
В SIEM-системах нового поколения анализ событий, инцидентов и их последствий включает процедуры моделирования событий и атак, анализа уязвимостей и защищенности системы, определения характеристик нарушителей, оценки риска, прогнозирования событий и инцидентов.
Предполагается, что моделирование инцидентов и событий безопасности, основанное на автоматических механизмах, которые используют информацию об истории анализируемых сетевых событий и прогнозе будущих событий, а также реализующее автоматическую подстройку параметров мониторинга событий к текущему состоянию защищаемой системы, позволит повысить уровень защищенности сети [8].
Поскольку результаты работы подсистемы моделирования атак часто не могут быть вычислены в реальном времени, их использование в процессах реального времени затруднено. Однако, построенные графы атак сохраняют актуальность достаточное время (до значительных изменений в политике безопасности или физической топологии сети). Благодаря этому в рамках общей системы анализа событий предлагается использовать построенные заранее графы атак. Эти графы атак могут применяться для решения двух основных типов задач: для предсказания последующих действий нарушителя и для анализа и выявления его прошлых действий, приведших систему к текущему состоянию.
Методика построения графов атак
Графы атак применяются в системах аналитического моделирования атак для оценки уровня защищенности системы к потенциально возможным атакам и улучшения точности определения атакующих действий осуществленных нарушителем. При этом главной проблемой моделирования атак в существующих системах управления информацией и событиями безопасности является невозможность выполнения моделирования в реальном времени. Для решения этой проблемы предлагается разделить процесс построения графов на подготовительный (не real-time) и рабочий (near real-time) этап. В данной работе представлен подход к построению графов атак на подготовительном этапе.
На этапе подготовки к построению деревьев атак, для каждого хоста строится 3-х мерная матрица по следующим данным: (1) класс атак (сбор данных, подготовительные действия, повышение привилегий, выполнение цели атаки); (2) необходимый тип доступа (удаленный источник без прав доступа, удаленный пользователь системы, локальный пользователь системы, администратор); (3) уровень знаний нарушителя (типы уязвимостей, которые нарушитель может реализовывать).
В результате, для каждого хоста формируется список возможных атакующих действий разбитых в группы по следующим параметрам: класс атаки, необходимый тип доступа и необходимый уровень знаний нарушителя, а для каждой группы, в свою очередь, формируется список конкретных атак и уязвимостей, которые эти атаки реализуют. Общий список уязвимостей формируется на основе описания программно аппаратного обеспечения хоста на языке CPE [4] и таких открытых баз уязвимостей как NVD (“National Vulnerability Database”). Так же источниками данных об открытых уязвимостях могут служить отчеты сканнеров безопасности, таких как Nessus, MaxPatrol. Уязвимости в системе хранятся в формате CVE [5].
Кроме отдельных уязвимостей при построении графа атак используются шаблоны атак в формате CAPEC [6], которые могут выступать не только в качестве входной информации для построения графов атак, но и как результат
анализа безопасности — они могут описывать наиболее часто встретившиеся последовательности эксплуатаций уязвимостей и других действий атакующего [1].
Следующая стадия атаки — поиск уязвимого программного обеспечения. Для этого используются следующие шаблоны: CAPEC-310 (Scanning for Vulnerable Software), CAPEC-300 (Port Scanning) и т. д. На третьей стадии проведения атаки используются как отдельные уязвимости из словаря CVE, так и шаблоны, например, CAPEC-233 (Privilege Escalation) и т. д.
После формирования матрицы потенциальных атак для каждого хоста, для анализируемой сети выбираются возможные типы нарушителей и точки доступа, в которых они могут получить доступ к сети.
Далее, для каждой выбранной модели нарушителя составляется список возможных целей. Так, для внутреннего пользователя это может быть месть (т. е. причинение максимального ущерба компании), для внешнего хакера — это может быть доступ к некоторой конфиденциальной информации расположенной на определенном сервере внутри сети, а для червя, целью может быть распространение инфекции по сети.
Соответственно, моделью нарушителя для конкретной сети является множество пар (тип нарушителя, цель), которые определяют ограничения по использованию атакующих действий и возможные начальные точки доступа в сеть. После этого на основе собранной информации формируются графы атак для всех выбранных моделей нарушителя.
Заключение
В настоящей работе предложена методика построения графов атак, предназначенная для повышения точности и оперативности обнаружения атак в общем потоке событий. Кроме того, анализ графов атак, построенных по предложенной методике, позволяет оценить общий уровень защищенности сети, выявить слабые места и оценить возможные контрмеры, направленные на повышение уровня защищенности сети. Новизна подхода заключается в способе построения графов атак (он позволяет строить многоуровневые модели
сценариев атак на основе как известных, так и предполагаемых (нулевого дня) уязвимостей) и применении графов атак и зависимостей сервисов для расчета метрик безопасности.
В настоящее время продолжаются исследования способов позволяющих повысить эффективность построения графов атак, и, продолжается разработка программного прототипа подсистемы моделирования атак, как базового компонента общей SIEM-системы, разрабатываемой в рамках проекта MASSIF [7].
Список литературы
1. Котенко И.В., Дойникова Е.В., Чечулин А.А. Общее перечисление и классификация шаблонов атак (CAPEC): описание и примеры применения // Защита информации. Инсайд, № 4, 2012. С. 54—66.
2. Котенко И.В., Саенко И.Б., Полубелова О.В., Чечулин А.А. Применение
технологии управления информацией и событиями безопасности для защиты информации в критически важных инфраструктурах // Труды СПИИРАН. Вып.1 (20). СПб.: Наука, 2012. С. 27—56.
3. Котенко И.В., Саенко И.Б., Полубелова О.В., Чечулин А.А. Технологии
управления информацией и событиями безопасности для защиты
компьютерных сетей // Проблемы информационной безопасности. Компьютерные системы. № 2, 2012. С. 57—68.
4. Common Platform Enumeration (CPE). http://cpe.mitre.org/ (дата обращения 29.01.2013)
5. Common Vulnerabilities and Exposures (CVE). http://cve.mitre.org/ (дата обращения 29.01.2013)
6. Common Attack Pattern Enumeration and Classification (CAPEC).
http://capec.mitre.org/ (дата обращения 29.01.2013)
7. MASSIF Project. http://www.massif-project.eu/ (дата обращения 29.01.2013)
8. Ruiz J.F., Desnitsky V., Harjani R., Manna A., Kotenko I. and Chechulin A.A Methodology for the Analysis and Modeling of Security Threats and Attacks for
Systems of Embedded Components // 20th Euromicro International Conference on Parallel, Distributed, and Network-Based Processing. IEEE Computer Society. 2012. P. 261—268. ISSN 1066-6192.
